3 oktober 2013 -
Tussen business en IT ontstaat in toenemende mate een spanningsveld rond security. Business managers willen hun medewerkers zo veel mogelijk vrij laten in de keuze van apparatuur en willen zo min mogelijk beperkingen in de toegang tot externe informatiebronnen. Men moet gebruik kunnen maken van social media en onbeperkt kunnen surfen op het web. Alles omwille van de business.
IT-managers leggen daarentegen de prioriteit bij een veilige IT-omgeving en willen daarom een zo hoog mogelijk niveau van beveiliging, zelfs als dat de business soms beperkingen op legt.
Spanningsveld
Etienne van der Woude, Regional Sales Manager Benelux bij WatchGuard Technologies, herkent dit spanningsveld en kijkt met enige zorg naar het gemak waarmee vanuit de business van een bedrijf wordt gesteld dat IT hen in alles moet ondersteunen en nooit een belemmering mag zijn. "Natuurlijk, IT is er om de business te ondersteunen. Maar als dat tot enorme risico’s leidt, moet je als IT-organisatie ook een grens trekken. Kijk naar een bedrijf als Diginotar. Daar leidde een gebrek aan afdoende beveiligingsmaatregelen op heel korte termijn tot een faillissement."
Toch begrijpt ook Van der Woude dat de ‘IT volledig dichttimmeren’ geen optie is. Zeker niet nu onder invloed van een trend als BYOD (Bring your Own Device) medewerkers steeds meer hun eigen apparatuur gebruiken en data, ook bedrijfsdata, makkelijk opslaan buiten de eigen organisatie. Bijvoorbeeld op een cloud-service als Dropbox. "Die ontwikkeling hou je niet tegen. Maar het is wel zaak om de risico’s van zo’n trend helder in kaart te brengen en te zorgen dat medewerkers zich van de bedreigingen in cyberspace bewust zijn."
Hacken is zeer eenvoudig
En risico’s zijn er, weet Van der Woude als geen ander. "Iedereen kan naar websites als mega-exploit gaan. Op die site wordt precies uitgelegd hoe hacken werkt en wat je moet doen om bijvoorbeeld via ‘penetration testing’ de IT-systemen van een organisatie binnen te dringen. Wie zich daar echt in verdiept, is binnen een paar dagen een goede hacker. En daarmee dus een gevaar voor elk bedrijf dat zich er niet tegen gewapend heeft."
Een andere bedreiging komt van computervirussen. Van der Woude wijst erop dat banken en verzekeraars er van uit gaan dat 90 procent van alle pc’s die op hun sites inloggen besmet is met een computervirus. "Het is een aanname, gebaseerd op basis van hun praktijkervaring en daar stemmen ze hun IT-security policy dus ook op af."
Besmettingsgevaar is groot
Dat het merendeel van de computers besmet is met virussen komt doordat het binnendringen in IT-systemen die niet afdoende zijn beveiligd, heel makkelijk is geworden. Als voorbeeld verwijst Van der Woude naar websites waar advertorials op geplaatst worden. "Het is heel eenvoudig om een code in zo’n advertorial te plaatsen, die niet meteen gedetecteerd wordt door beveiligingssoftware. Alleen al naar zo’n website gaan, veroorzaakt een besmetting. U hoeft niet eens op de banner te klikken. En zonder dat u het weet, wordt er in uw systeem rond geneusd of gebruikt men uw computers om malware te verspreiden. Begin deze zomer is dit bijvoorbeeld gebeurd via de site van NU.nl."
Van der Woude onderkent dat het praktisch onmogelijk is om een IT-systeem waterdicht te beveiligen. Te meer omdat elke nieuwe beveiligingsmaatregel direct weer een uitdaging is voor hackers. "Het is een kat-en-muis spel tussen IT-beveiligers en de hackwereld. Juist daarom is het van belang dat u zich bewust bent van de risico’s die u loopt als u op het web surft. Daar zou vanuit de business wat mij betreft meer aandacht voor moeten zijn. Faciliteer uw medewerkers, maar zorg tegelijkertijd voor awareness en accepteer dat de IT-organisatie beveiligingsmaatregelen neemt zoals URL-filtering en Intrusion Prevention System (IPS), waarmee men het surfgedrag van een medewerker kan volgen en kan zien naar welk IP-adres het internetverkeer gaat. Ook dat is in het belang van de business."
